[gelöst] NPTv6 und Forwarding-Regeln

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

[gelöst] NPTv6 und Forwarding-Regeln

Beitrag von OnkelThomas »

Guten Tag,

ich habe NPTv6 nach dieser Anleitung https://support.lancom-systems.com/know ... d=78479773 auf meinem 1781EW+ FW: 10.70.0181RU2 aktiviert. (Ich mag die Idee das lokal die Adressen gleich bleiben, vor allem da ich jetzt eine Backup-Leitung habe.)

Danach waren per IPv6-Forwarding-Regeln freigegebene Dienste nicht mehr erreichbar, obwohl ich mit Host-Identifiern gearbeitet habe. Ein Blick ins Traceing zeigte, das eine (für mich) unterwartete Adresse angesteuert werden soll.

Code: Alles auswählen

The packet below, received from INTERNET scope global
Internet Protocol Version 6
  Payload length: 64
  Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Next header: ICMPv6 (58)
  Hop limit: 56
  Source: 2a03:4000:6:XXX::1
  Destination: 2a02:810d:XX:YY:91:51ff:fe40:1234
Internet Control Message Protocol
  Type: Echo (ping) request (128)
  Code: 0
  Checksum: 0xc595
  Identifier: 14640
  Sequence number: 0
matched inbound NPTv6 on INTERNET
  map destination to fd00::3f:51ff:fe40:1234
matched FORWARDING rule ALLOW-VPN
no matching conditions, test next rule
matched FORWARDING rule DENY-ALL
2a02:810d:XX:YY:91:51ff:fe40:1234 wird laut dem trace nach fd00::3f:51ff:fe40:1234 gemappt und nicht nach fd00::91:51ff:fe40:1234, was die eigentlich Adresse des Hosts ist.

Und siehe da, wenn ich den Host-Identifier des Stations-Objekts entsprechend abändere und dem Host fd00::3f:51ff:fe40:1234 als weitere Alias-Adresse zuweise, sind die Dienste auch wieder wie gewünscht erreichbar.

Das Thema NPTv6 ist noch neu, daher die Frage: Ist das so Absicht? Weil das ist ja dann keine 1-zu-1-Zuweisung mehr. Die RFC habe ich mir jetzt noch nicht gegeben, aber habe bisher nirgendwo etwas dazu gefunden. Es muss ja dann eine Anpassungsregel dafür geben, das man sich die Adresse ausrechen kann und nicht erst ins Traceing gehen muss.
Zuletzt geändert von OnkelThomas am 22 Dez 2022, 19:47, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: NPTv6 und Forwarding-Regeln

Beitrag von backslash »

Hi OnkelThomas
Das Thema NPTv6 ist noch neu, daher die Frage: Ist das so Absicht? Weil das ist ja dann keine 1-zu-1-Zuweisung mehr.
am Ende muß man das sogar mit "ja" beantworten... NPTv6 ändert den Prefix so, daß die Änderung Prüfsummenneutral ist. Dazu müssen aber im (gemappten) Prefix selbst 16 Bits zur "freien Verwendung" zur Verfügung stehen. Ist das nicht möglich, so wird im schlimmsten Fall der Identifier (mit-) geändert. Sind in der kompletten Adresse weniger als 16 Bits verfügbar (sprich: ist die Prefixlänge größer als 112) so scheitert NPTv6 komplett.

Gruß
Backslash
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: NPTv6 und Forwarding-Regeln

Beitrag von Dr.Einstein »

Dann wäre jedoch die Dokumentation falsch https://www.lancom-systems.de/docs/LCOS ... nptv6.html :
Die Umsetzung erfolgt 1:1, d. h. eine Adresse aus Präfix A wird auf eine Adresse aus Präfix B umgesetzt. Es wird dabei nur der Präfix-Teil umgesetzt, der Host-Teil bleibt erhalten. Dieses Verfahren arbeitet somit "Stateless"
Ein Verweis auf die RFC https://www.rfc-editor.org/rfc/rfc6296#page-10 wäre angebracht.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: NPTv6 und Forwarding-Regeln

Beitrag von backslash »

Hi Dr.Einstein

wenn du einen /48-Prefix bekommst, dann die die Zuordnung auch auf den Prefix beschränkt...
Und selbst, wenn der Identifier angepackt wird: auch das ist eindeutig - weil alle "gleich" angepaßt werden. Auch dabei bleibt die Zuordnung 1:1

Gruß
Backslash
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

[gelöst] Re: NPTv6 und Forwarding-Regeln

Beitrag von OnkelThomas »

Danke für die Antworten. Dann weiß ich das es kein Bug ist.

Und jetzt wo ich nochmal genauer hingeschaut habe, sehe ich erst, dass das natürlich für beide Richtungen gilt. Wenn ich mir z.B. auf ipv6-test.com die verwendete Adresse anschaue, dann wurde die auch angepasst. Bisher habe ich immer nur auf die letzten Stellen geschaut und gedacht, jo ist 1 zu 1 übersetzt. Aber 65 bis 80 sind "checksum-neutral corrected" und "nur" 81 bis 128 sind gleich. (Ich kann auch nur ::/64 mappen, da mir meine Provider nichts Bessers geben.)

Ich muss Dr.Einstein zustimmen dass das in die Doku gehört. (Das wurde nämlich bisher IMHO noch nirgendwo erwähnt. Immer heißt es das sei 1zu1 (Jetzt verstehe ich auch, warum Manche dafür geworben haben das Provider grundsätzlich /48 ausgeben sollten.)) Damit könnte sich LANCOM evtl. eine menge Supportanfragen ersparen.

...moment mal... :idea: :!: Oh man jetzt so offensichtlich! Anstatt im LANCOM den Identifier anzupassen und auf dem Host eine Alias-Adresse hinzuzufügen, müsste es doch reichen einfach die im DNS hinterlegte Adresse so zu ändern, das sie zurück gerechnet stimmt. Und tatsächlich das geht! :-) Zunächst hab ich es mit :3f: versucht, aber das hat nicht funktioniert. Dann hab ich auf meinem OpenBSD so die öffentliche IP ermittelt:
$ ftp -o ip.txt -s fd00::91:51ff:fe40:1234 https://ifconfig.co/
Und siehe da, die Umrechnung ist in dem Fall :e3:. Das geschwind im DNS angepasst und gut.

Nochmal danke für den Input. Wäre ich alleine nicht drauf gekommen! Schöne Feiertage.
Antworten